一个黑客组织一直在陷害那些没有犯下罪行的人

最近的一项研究显示了一个网络犯罪组织的战术和技术，该组织以在印度活动人士的装置上植入有罪证据而闻名。

至少十年来，一个隐蔽的黑客组织一直以印度各地的人为目标，有时利用其数字能力在他们的设备上植入伪造的犯罪活动证据。这些虚假证据反过来往往为受害者被捕提供了借口。

网络安全公司Sentinel One本周发布的一份报告揭示了该组织的更多细节，阐明了该组织的数字肮脏伎俩在印度各地被用来监视和瞄准“人权活动人士、人权捍卫者、学者和律师”的方式。

研究人员称之为“ModifiedElephant”的该组织主要专注于间谍活动，但有时会进行干预，以确定其犯罪目标。研究人员写道：

ModifiedElephant的目标是长期监控，有时会以提供“证据”结束，即在方便地协调逮捕之前，将目标纳入特定犯罪的文件。

涉及大象的最突出案件集中在毛派活动人士罗娜·威尔逊和他的一群同伙身上，他们在2018年被印度安全部门逮捕，被控阴谋推翻政府。在威尔逊的笔记本电脑上发现了所谓阴谋的证据，包括一份详细描述暗杀国家总理纳伦德拉·莫迪计划的word文档。然而，后来对该设备进行的法医分析显示，这些文件实际上是伪造的，是使用恶意软件植入的。据哨兵研究人员称，是大象把它们放在那里的。

这起案件在《华盛顿邮报》报道后曝光率更高，但在上述笔记本电脑被波士顿的数字取证公司阿森纳咨询公司分析后，案件被曝光。阿森纳最终得出结论，威尔逊和他的所有所谓同谋，以及许多其他活动人士，都是数字操纵的目标。在一份报告中，该公司解释了入侵的范围有多广：

阿森纳将同一名攻击者与一个重要的恶意软件基础设施联系起来，该基础设施在大约四年的时间里被部署，不仅在22个月的时间里攻击并破坏了威尔逊的计算机，还攻击了他在Bhima Koregaon案中的共同被告，以及其他备受关注的印度案件中的被告。

根据Sentinel One的报告，大象使用常见的黑客工具和技术在受害者的电脑中站稳脚跟。网络钓鱼电子邮件通常是针对受害者的利益定制的，其中装载了恶意文档，其中包含商业上可获得的远程访问工具（RAT）——在黑暗的网络上可获得的易于使用的程序，可以劫持计算机。具体来说，大象已经被证明使用了两个知名品牌DarkComet和Netwire。一旦受害者被成功钓鱼，黑客的恶意软件被下载，RAT就可以让大象全面控制受害者的设备；研究人员写道，他们可以悄悄地进行监视，或者像威尔逊的案例那样，部署虚假的、有罪的文件。

这都很邪恶。与黑客世界中的任何事情一样，很难确定“大象”到底是谁。然而，研究人员写道，明显的背景证据表明，该组织考虑到了印度政府的“利益”：

我们观察到，ModifiedElephant活动与印度国家利益密切相关，ModifiedElephant袭击与在有争议的政治指控案件中逮捕个人之间存在明显的相关性。

不幸的是，ModifiedElephant并不是唯一一个做过这种事情的团体。据信，另一个完全不同的组织对土耳其记者巴里斯·佩利文（Baris Pehlivan）进行了类似的行动。2016年，土耳其政府指控他犯有恐怖主义罪，他被监禁19个月。数字取证后来显示，用来证明佩利文指控的文件是植入的，很像威尔逊笔记本电脑上的文件。

总而言之，这是非常令人不安的事情。“关于这一威胁因素及其行动的许多问题仍然存在，”哨兵一号研究人员在大象杂志上写道。“然而，有一件事是明确的：世界各地的威权政府批评者必须仔细理解那些试图让他们沉默的人的技术能力。”